迫るマイナンバー制度導入と求められる電力自由化との連携 ―制度利用拡大の可能性とスマートメーターのセキュリティ対策―

マイナンバー連携とスマートメーターのセキュリティ

〔1〕スマートメーターでのマイナンバーの利用

　マイナンバーの電気料金や契約への利用が認められたとすると、HEMS端末から、契約プランの変更、電力会社の契約切り替えを行えるようになる可能性がある。この場合、契約者はHEMS端末にマイナンバーを入力することになる。HEMS端末が暗号化通信（VPN^注5やSSL^注6など）で保護された回線で電力会社や売電会社と接続されていれば、ポータルサイト経由でIDとパスワードによる認証だけでマイナンバーを入力させるよりも安全にできる可能性がある（図3）。

〔2〕スマートメーターのセキュリティガイドライン

　スマートメーターのセキュリティ対策・仕様要件については、経済産業省のスマートメーター制度検討会セキュリティ検討ワーキンググループが、統一的なガイドラインの標準対策要件に盛り込むべき事項を公表している^注7。ガイドラインは全10章で構成されており、それぞれのポイントを表1に示す。

　スマートメーターセキュリティの基本的な考え方は、ISMS^注8やISO27000シリーズ^注9に準ずるものであり、システムの可用性・安定性も考慮した運用ルールや対策技術の導入、インシデント（事故）対応を説いている（図4）。運用中も問題点を洗い出し、インシデント対応の結果も評価して、改善サイクル（PDCA）を回すことも書かれている。攻撃に対する防御、通信路の暗号化、認証を伴うファームウェアのアップデートなどの指標も示されている。

　スマートメーターやHEMSを考えるとき、このガイドラインをベースにして、リスク評価・分析の際にマイナンバー情報の入力の有無を加えて検討すればよいだろう。

◎Profil

中尾 真二（なかお しんじ）

フリーランスライター／中小企業向けニュースサイト「HANJO HANJO」編集長

1987年、中途で入社したアスキーでインターネット（とは言わなかったが）に接する。アスキーではオペレーティングシステムや情報通信に関する書籍を多数担当。アスキー退社後はオライリー・ジャパンで編集長となる（1997〜2003年）。独立後はITを軸にしつつセキュリティ・自動車・教育など幅広いジャンルで、紙・Web問わず取材および執筆活動を行う。セキュリティについては、関連書籍の企画・編集、業界動向や国際会議等の取材活動、JPCERT/CC職員（2009〜2013年：非常勤）、シンクタンクのリサーチャーとして国内外の調査実績がある。

▼ 注5
VPN：Virtual Private Network、インターネット上に外部に公開されない仮想的な専用回線（プライベートネットワーク）を構成する技術。

▼ 注6
SSL：Secure Socket Layer、ネットスケープコミュニケーションズ社が開発した、インターネット上で情報を暗号化して送受信するプロトコル。

▼ 注7
・スマートメーター制度検討会セキュリティ検討ワーキンググループ報告書：http://www.meti.go.jp/press/2015/07/20150710001/20150710001-2.pdf
・統一的なガイドラインの標準対策要件に盛り込むべき事項：http://www.meti.go.jp/press/2015/07/20150710001/20150710001-3.pdf

▼ 注8
ISMS：Information Security Management System、情報セキュリティマネージメントシステム。組織の情報セキュリティについて、リスク分析を行い必要な対策レベルや方法を決め、それを運用していくこと。その際重要とされるのは機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）といわれ、ISMSの運用にあたっては、状況を常に評価してPDCA（Plan：計画、Do：実施、Check：検証、Action：改善）サイクルを回していくこととされている。

▼ 注9
ISO27000シリーズ：ISO（国際標準化機構） とIEC（国際電気標準会議）が標準化を進める、情報セキュリティマネージメントシステム（ISMS）に関する国際規格群。